Kubernetes GKE和GAE之间的防火墙规则

正在尝试在GKE和GAE上的专用群集之间设置防火墙规则。集群将请求转发到GAE（python3环境）中的应用程序

GKE集群连接到具有外部IP的NAT服务。我想关闭app engine环境，但应该只允许群集访问GAE

当实施防火墙规则（在应用程序引擎级别和通用VPC防火墙级别）以允许或拒绝NAT的静态IP时，该规则不会得到实施。删除NAT后，群集无法向GAE发送任何请求。这里少了什么东西吗

---

需要注意的是，我们的集群和GAE环境位于不同的区域。在GAE中将X-Forwarded-For头添加到代码中之后，它返回了几个IP地址，其中一个是集群节点（内部IP），另外两个是不熟悉的，我没有看到NAT静态IP地址。即使我拒绝了这两个IP，防火墙也允许它们连接。

您尝试使用GAE而不是Knative的原因是什么？（K8s有许多类似的框架，但Knative来自谷歌，很容易安装在GKE上）注意，要只允许NAT IP访问你的应用程序引擎，你需要在应用程序引擎级别设置防火墙规则，@LundinCast我已经尝试过了，但规则似乎不适用。我必须注意，我们的应用引擎和集群位于不同的区域。我使用X-Forwarded-For报头来检查流量通过哪个IP路由。我看到了集群节点的内部IP，但是其他IP并不熟悉。NAT IP不包括在内。但是如果我删除NAT，集群将无法向GAE环境发送请求。@user13151408在问题中，您说的是不同的区域，但在注释中，您说的是不同的区域。请你具体说明哪一种说法是正确的好吗？@Ohimark这是不同的地区，我的错，你为什么要用GAE而不是，比如说，Knative？（K8s有许多类似的框架，但Knative来自谷歌，很容易安装在GKE上）注意，要只允许NAT IP访问你的应用程序引擎，你需要在应用程序引擎级别设置防火墙规则，@LundinCast我已经尝试过了，但规则似乎不适用。我必须注意，我们的应用引擎和集群位于不同的区域。我使用X-Forwarded-For报头来检查流量通过哪个IP路由。我看到了集群节点的内部IP，但是其他IP并不熟悉。NAT IP不包括在内。但是如果我删除NAT，集群将无法向GAE环境发送请求。@user13151408在问题中，您说的是不同的区域，但在注释中，您说的是不同的区域。请你具体说明哪一种说法是正确的好吗？@Ohimark这是不同的地区，我不好混淆